EPS (Events Per Second) в управлении событиями безопасности в системах SIEM можно использовать для:

• Определения требований к лицензированию, размерам и хранению данных. 1 После определения количества устройств и среднего EPS, генерируемого каждой из категорий устройств, можно рассчитать потребности в лицензировании, хранении, производительности системы и архивировании. 1
• Выявления клиентов или устройств, генерирующих высокий объём событий. 4 Это может указывать на аномальное поведение или потенциальные угрозы безопасности. 4
• Оптимизации политик сбора и хранения событий. 4 На основе данных EPS можно оптимизировать сбор и хранение событий, выделить больше ресурсов клиентам с высоким EPS и принять меры по устранению угроз безопасности или неэффективности. 4

Например, в FortiSIEM мониторинг EPS позволяет идентифицировать скомпрометированные клиенты, которые генерируют внезапный всплеск событий, обнаружить неправильно настроенные устройства и оценить влияние обновлений программного обеспечения или изменений на генерацию событий. 4